1.arp介绍

当一台主机把以太网数据帧发送到位于同一局域网上的另一台主机时。是根据48bit的以太网地址来确定目的接口的。设备驱动程序从不检查ip数据报中的目的ip地址。

地址解析为这两种不同的地址形式提供映射:32bit的ip地址和数据链路层使用的任何类型的地址.(fr环境)

arp为ip地址到对应的硬件地址之间提供动态映射。我们之所以用动态这个词是因为这个过程是自动完成的,一般应用程序用户或系统管理员不必关心。

rarp是被那些没有磁盘驱动器的系统使用(一般是无盘工作站或x终端),它需要系统管理员进行手工设置。

arp的过程

任何时候我们敲入下面这个形式的命令:

%ftp bsdi

都会进行以下这些步骤

1.应用程序ftp客户端调用函数gethostbyname(3)把主机名(bsdi)转换成32bit的ip地址。这个函数在dns(域名系统)中称作解析器,我们将在第14章对它进行介绍。这个转换过程或者使用dns,或者在较小网络中使用一个静态的主机文件(/etc/hosts)

2.ftp客户端请求tcp用得到的ip地址建立连接。

3.tcp发送一个链接请求分段到远端的主机,即用上述ip地址发送一份ip数据报

4.如果目的主机在本地网络上(如以太网、令牌环网或点对点连接的另一端),那么ip数据报可以直接送到目的主机上,如果目的主机在一个远程网络上,那么就通过ip选路函数来 位于本地网络上的下一站路由地址,并让它转发ip数据报。在这两种情况下,ip数据报都会被送到位于本地网络上的一台主机或路由器。

5.假定是一个以太网,那么发送端主机必须把32bit的ip地址变换成48bit的以太网地址。从逻辑internet地址到对应的物理硬件地址需要进行翻译。这就是arp的功能。arp本来是用于广播网络的,有许多主机或路由器连在同一个网络上。

6.arp发送一份称作arp请求的以太网数据帧给以太网上的每个主机。这个过程称作广播,如图4-2中的虚线所示。arp请求数据帧中包含目的主机的ip地址(主机名为bsdi),其意思是如果你是这个ip地址的拥有者,请回答你的硬件地址。

7.目的主机的arp层收到这份广播报文后,识别出这是发送端在询问它的ip地址(主机名为bsdi),其意思是如果你是这个ip地址的 ,请回答你的硬件地址。

8.收到arp应答后,使arp进行请求一答应交换的ip数据报现在就可以传送了。

9.发送ip数据报道目的主机

arp背后的一个基本概念

在arp背后有一个基本概念,那就是网络接口有一个硬件地址(一个48bit的值,标识不同的以太网或令牌环网络接口)。在硬件层次上进行的数据帧交换必须有正确的接口地址。但是,tcp/ip有自己的地址:32bit的ip地址。知道主机的ip地址并不能让内核发送一帧数据给主机。(telnet试验)内核(如以太网驱动程序)必须知道目的端的硬件地址才能发送数据。arp的功能是在32bit的ip地址和采用不同网络技术的硬件地址之间提供动态映射。

点对点链路不适用arp.当设置这些链路时(一般在引导过程进行),必须告知内核链路,每一端的ip地址。像以太网地址这样的硬件地址并不涉及。

arp高速缓存

arp高效运行的关键是由于每个主机上都有一个arp高速缓存。这个高速缓存存放了最近internet地址到硬件地址之间的映射记录。高速缓存中每一项的生存时间一般为20分钟,起始时间从被创建时开始算起。

arp的分组格式

在以太网上解析ip地址时,arp请求和应答分组的格式如图4-3所示(arp可以用于其他类型的网络,可以解析ip地址以外的地址。紧跟着类型字段的前四个字段指定了最后四个字段的类型和长度)。

arp包字段分析

以太网报中的前两个字段是以太网的源地址和目的地址。目的地址为全1的特殊地址是广播地址。电缆上的所有以太网接口都要接收广播的数据帧。

两个字节长的以太网帧类型标示后面 的类型。对于arp请求或应答来说,该字段的值为0x0806.形容词hardware(硬件)和protocol(协议)用来描述arp分组中的各个字段。例如,一个arp请求分组询问协议地址(这里是ip地址)对应的硬件地址(这里是以太网地址)。

硬件类型字段表示硬件地址的类型。它的值为1即表示以太网的地址。协议类型字段标示要映射的协议地址类型。它的值为0x0800即标示ip地址。它的 与包含ip数据报的以太网数据帧中的类型字段的值相同,这是有意设计的(参见图2-1).

接下来的两个1字节的字段,硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度,以字节为单位。对于以太网上ip地址的arp请求或应答来说,他们的值分别为6和4。

操作字段指出四种操作类型,他们是arp请求(值为1、arp应答(值为2)、rarp请求(值为3)和rarp应答(值为4)(我们第5章讨论rarp).这个字段必须的,因为arp请求和arp应答的帧类型字段值是相同的。

接下来的四个字段是发送端的硬件地址(再本例中是以太网地址)、发送端的协议地址(ip地址)、目的端的硬件地址和目的端的协议地址。注意,这里有有一些重复信息:在以太网的数据帧报头中和arp请求数据帧中都有发送端的硬件地址。

对于一个arp请求来说,除目的端硬件地址外的所有其他的字段都有填充值。当系统受到一份目的端为本机的arp请求报文后,它就把硬件地址填进去,然后用两个目的端地址分别替换两个发送端地址,并把操作字段置为2,最后把它发送回去。

arp:实例分析(试验)

正常的arp过程

机关arp请求时广播的,但是arp应答的目的地址却是bsdi(0:0:c0:6f:2d:40).arp应答是直接送到请求端主机的,而是不广播的。

几乎在同时发送了两个arp请求与接收arp回答之间的延迟是2ms.而在0.7ms之后发出的第一个报文。

当系统受到arp请求或发送arp应答时,都要把请求端的硬件地址和ip地址存入arp告诉缓存。

(讲解以下交换机的工作过程)

对不存在主机的arp请求

arp代理(试验)

免费arp(试验)

免费arp可以有两个方面的作用:

1.一个主机可以通过它来确定另一个主机是否设置了相同的ip地址。主机bsdi并不希望对此请求有一个回答,但是,如果收到一个后打,那么就会在终端日志上产生一个错误信息,以太网地址:a:b:c:d:e:f发送来重复的ip地址。这样就就可警告系统管理员,某个系统有不正确的设置。(讲一下二层攻击手段)

2.如果发送免费arp的主机正好改变了硬件地址(很可能是主机关机了,并换了一块接口卡,然后重新启动,那么这个分组就可以使其他主机高速缓存中旧的硬件地址进行相应的更新。一个比较著名的arp协议事实[plummer 1982]是,如果主机收到某个ip地址的arp请求,而且它已经在接收者的高速缓存中,那么就要用arp请求中的发送端硬件地址(如以太网地址)对高速缓存中相应的内容进行更新。主机接收到任何arp请求都要完成这个操作(arpp请求是在网上广播的,因此每次发送arp请求时网络上的所有主机都要这样做)。

通过发送含有备份硬件地址和故障服务器的ip地址的免费arp请求,使得备份文件服务器可以顺利地接替故障服务器进行工作。这使得所有目的地为故障服务器的报文都被送到备份服务器那里,客户程序不用关心原来的服务器是否出了故障。(hsrp,vrrp)